Oh no! Where's the JavaScript?
Your Web browser does not have JavaScript enabled or does not support JavaScript. Please enable JavaScript on your Web browser to properly view this Web site, or upgrade to a Web browser that does support JavaScript.

ລາວເຊີດລາວເຊີດລາວເຊີດ

ແຈ້ງເຕືອນ

ແຈ້ງເຕືອນ ຊ່ອງໂຫວ່ Zero-Day ໃນ Microsoft Exchange ມີລາຍງານການໂຈມຕີແລ້ວ

ແຈ້ງເຕືອນ ຊ່ອງໂຫວ່ Zero-Day ໃນ Microsoft Exchange ມີລາຍງານການໂຈມຕີແລ້ວ

ຜູ້​ຊ່ຽວ​ຊານ​ທາງ​ດ້ານ​ຄວາມຫມັ້ນຄົງ​ປອດໄ​ພ​ຈາກ GTSC(3) ປະເທດ ຫ​ວຽດ​ນາມ ລາຍ​ງານ​ຊ່ອງ​ໂຫວ່ Zero-Day ໃນ Microsoft Exchange ທີ່​ເລີ່ມ​ກວດ​ພົບການ​ໂຈມ​ຕີ​ແລ້ວ ໄດ້ມີ​ການ​ລາຍ​ງານ​ໄປ​ທີ່ Zero Day Initiative (ZDI) ປະກອບ​ດ້ວຍ​ຊ່ອງ​ໂຫວ່ 2 ອັນ ​ໄດ້​ແກ່ ZDI-CAN-18333 ມີ​ຄະ​ແນນ CVSS 8.8 ແລະ ZDI-CAN-18802 ມີ​ຄະ​ແນນ CVSS 6.3 ຊ່ອງ​ໂຫວ່​ນີ້ ​ສາມາດ​ສ້າງ​ຄວາມ​ເສຍ​ຫາຍ​ໄດ້​ຄ່ອນ​ຂ້າງ​ຫລາຍ ເຮັດໃຫ້​ຜູ້​ໂຈມ​ຕີ​ ສາມາດ​ເຮັດ Remote Code Execution (RCE) ໄປ​ທີ່ເຄື່ອງ​ເປົ້າ​ໝາຍ​ໄດ້ ໂດຍ​ໃຊ້​ການ​ໂຈມ​ຕີ​ດ້ວຍ Request ທີ່​ມີ​ລັກສະນະ​ຄ້າຍ​ກັບ​ການ​ໂຈມ​ຕີ​ຊ່ອງ​ໂຫວ່ ProxyShell ກ່ອນ​ໜ້າ​ນີ້ ແລະ ​ເມື່ອ​ເຈາະ​ຜ່ານ​ຊ່ອງ​ໂຫວ່​ໄດ້​ສຳ​ເລັດ ຈະ​ມີ​ການ​ຕິດ​ຕັ້ງ Antsword ຊຶ່ງ​ເປັນ Webshell ຈາກ​ປະເທດ​ຈີນ ​ເພື່ອ​ໃຊ້​ເປັນ Backdoor ໃນ​ການ​ໂຈມ​ຕີ​ຕໍ່ໄປ.

ລ່າ​ສຸດ Trend Micro ໄດ້​ອອກ​ລາຍ​ງານ​ເຕືອນ​ກ່ຽວກັບ​ຊ່ອງ​ໂຫວ່​ນີ້​ມາ​ແລ້ວ​ເຊັ່ນ​ກັນ ມີ​ການ​ເພີ່ມ Protection ແລະ Detection Rule ໃນ​ຜະລິດຕະພັນ​ຂອງ​ຕົນເອງ​ແລ້ວ ປະຈຸບັນ​ຊ່ອງ​ໂຫວ່​ນີ້​ຍັງ​ບໍ່​ມີຕົວແກ້ໄຂ​ຈາກ​ທາງ Microsoft ໂດຍ​ທາງ GTSC ແນະ​ນຳ​ໃຫ້​ຜູ້​ເບິ່ງ​ແຍງ​ລະບົບ​ແກ້​ໄຂ​ບັນຫາ​ຊົ່ວ​ຄາວ​ໄປ​ກ່ອນ ​ດ້ວຍ​ການ​ປັບ​ແຕ່ງ IIS Server rule ຜ່ານ​ທາງ URL Rewrite Rule Module ດັ່ງ​ນີ້:

In Autodiscover at FrontEnd, select tab URL Rewrite, and then Request Blocking.

Add string “.*autodiscover\.json.*\@. *Powershell.*“ to the URL Path.

Condition input: Choose {REQUEST_URI}

ຜູ້​ເບິ່ງ​ແຍງ​ລະບົບ​ທີ່​ຕ້ອງ​ການ​ກວດ​ສອບ​ວ່າ Exchange Server ຖືກ​ໂຈມ​ຕີ ​ຫລື​ ບໍ່ ສາມາດ​ເປີດ​ຄຳ​ສັ່ງ PowerShell ດ້ານ​ລຸ່ມ​ ເພື່ອ​ກວດ​ສອບ IIS Log.

Get-ChildItem -Recurse -Path -Filter “*.log” | Select-String -Pattern ‘powershell.*autodiscover\.json.*\@. *200


ເອກະສານອ້າງອີງ:

  1. https://www.bleepingcomputer.com/news/security/new-microsoft-exchange-zero-day-actively-exploited-in-attacks/
  2. https://gteltsc.vn/blog/warning-new-attack-campaign-utilized-a-new-0day-rce-vulnerability-on-microsoft-exchange-server-html
  3. https://www.techtalkthai.com/new-zero-day-was-found-on-microsoft-exchange/

ລາຍການຮູບ

Porher 03 October 2022 1,231 Print